ARC亞洲工業論壇討論作為工業網絡安全守護者的組織

通過Sharada Prahladrao

類別:
技術發展趨勢

ABB作為白金讚助人參加了網上活動ARC亞洲產業論壇題為加快工業數字化轉型和可持續發展金博宝app安卓版下载2022年7月12日至14日。本屆論壇有1600多名代表報名參加日語和英語兩種語言課程。在關於工業網絡安全的會議上,ABB能源工業OT安全全球銷售負責人Ikshvakoo Vaid談到了網絡風險對關鍵基礎設施的嚴峻現實,從環境和安全角度來說,這可能是災難性的。盡管網絡攻擊不斷發生,但企業仍不願將網絡安全作為業務優先事項。必須轉變思維和行為,組織中的每個人都應該作為網絡安全的守護者共同承擔責任。

在這個內容豐富的會議結束時,他加入了其他發言者的小組討論。本博客著重介紹了Vaid先生的演講要點和他在小組討論中的觀點。可以在上麵查看整個會話YouTube

這種情況

工業界對網絡安全技能的需求正在上升,Vaid先生解釋道。全球短缺約270萬,其中50%在亞太地區。招聘具有挑戰性,從學術機構增加合格的資源不是一朝一夕就能實現的。因此,謹慎的做法是投資於現有資源,構建健壯的流程,並實施精心選擇的技術,以使網絡安全成為業務的基礎。然而,當涉及到OT環境時,網絡安全被認為是複雜的、資源密集型的和昂貴的;因此,OT網絡安全戰略通常沒有全局性的。安全控製是孤立的,對風險沒有全麵的認識。理解、維護和維護這些斷開連接的解決方案需要大量的時間和專業知識。

工業環境優先考慮生產。用嚴格的應用程序製度和安全控製維護保持舊係統可用,這些安全控製需要一定程度的人工幹預來管理操作中斷。因此,負責日常操作的OT團隊發現與網絡安全相關的任務令人生畏且難以處理。為了更好地理解這一點,Vaid先生展示了降低風險路線圖的過程和不同階段:

工業網絡安全

從最左到最右穿越這條路徑的時間取決於各種因素,例如當前組織的成熟度、年齡和當前OT環境的生命周期,等等。瓦伊德補充說,工廠正在處理不同的優先事項,比如投資多少、投資什麼、為運營計劃確定一套正確的解決方案等等。盡管存在這些挑戰,但是正在取得漸進的進展,並且隨著安全控製和過程的添加,它產生了要監視和維護的多個接口。

的挑戰

  • 孤立的網絡安全解決方案會導致工具疲勞和采用不良
  • 實施的安全控製被忽視,降低了效率
  • 錯誤的OT安全意識和使用不當的工具

安全控製的有效性取決於維護它們的團隊。缺乏可操作的數據和專業知識會導致錯過威脅和維護不當的安全控製。根據最近的一份網絡安全報告,48%的組織甚至沒有意識到他們的工業控製係統受到的威脅——這是一個值得嚴重關注的問題。

須采取的行動

Vaid先生強調,這是必須做出行為轉變的地方,網絡風險必須在董事會層麵進行討論。很難計算安全控製投資的投資回報率,因為它不直接影響收入和生產。更廣泛的問題是“不投資網絡安全的成本是什麼?”應對措施包括與生產、安全、環境、社會影響和聲譽相關的問題,以留住和吸引投資。實施良好的網絡安全戰略可以減少保險費,並為網絡努力提供部分或全部資金。領導者必須理解和支持OT的網絡安全工作,並推動組織文化轉變,優先考慮培訓和行動。如果沒有文化或行為的改變,任何技術投資都不太可能帶來長期的保護。安全主管必須與c級主管討論人才短缺和風險,並通過培訓計劃推動內部安全人員和技能的有機增長。從工廠經理到維護工程師,每個人都應該認識到這些威脅,並被授權實現和維護關鍵資產的安全性。

在整個組織中實施的深思熟慮的策略應該與為在組織中工作的人設計的安全工具相結合。每個團隊成員都應該被激勵成為網絡安全的守護者,並保持運營正常。與具有深度領域專業知識的可信解決方案提供商合作的好處是多方麵的,因為他們可以確保員工意識到即將到來的威脅,實施解決方案,並在公司規模擴大的同時增強網絡勞動力的能力和能力。傳統上,網絡安全解決方案是昂貴的,因為它們必須由專家部署。但情況已經發生了變化——專注於最終用戶的技術有可能通過賦予他們權力來改變他們的行為。

視角

以下是Vaid先生在小組討論中的觀點。

當涉及到OT網絡安全時,你如何激發這種歸屬感?

網絡安全應該是每個人的責任——這裏的關鍵信息是灌輸安全行為,從而導致組織安全。然而,這並不一定意味著每個工程師都要開始研究網絡安全程序/工具。相反,必須有一個單一的接觸點。一個負責任的人。維護人員負責這些任務,並在技術提供商的支持下接受工作培訓。

組織中是否需要有一定比例的認證網絡安全人員?

認證是理解主題和深入研究主題的好方法。然而,還有其他領域,如監管框架,保險等,需要一定程度的內部專業知識。當涉及到評估風險情況時,認證肯定是一個增值,根據特定的工業應用有不同的認證可用。

“轉變的行為”可以用經驗來衡量嗎?

除非有一些度量標準,否則很難理解和度量行為的變化。我們注意到,組織在程序和工具使用方麵與員工進行了更多的對話,從而更好地理解政策和實施。例如,由於任務的複雜性,可能無法遵循每28天部署一次補丁的最佳實踐。這就是有效的溝通和支持真正有用的地方。

與ARC谘詢小組保持聯係

Baidu
map